Cómo funciona Slack Phishing para recolectar datos personales y cómo prevenirlos
La triste realidad de 2019 es que el phishing ya no es solo un problema de seguridad del correo electrónico. Desde hace un tiempo ha sido un problema de seguridad de la comunicación, y las estadísticas indican que dicho problema está creciendo. A pesar de los esfuerzos concertados de especialistas en TI y activistas educativos en todo el mundo, los usuarios de Internet continúan cayendo en estafas de phishing de correo electrónico con alarmante regularidad. Tal como está, el 97% de los participantes en una encuesta reciente no pudo saber si un correo electrónico era falso o no. Si bien la mayoría de las personas son al menos algo conscientes de que existe el phishing por correo electrónico, pocos o ningún usuario fuera de los mismos especialistas en TI que combaten el delito cibernético saben que la última estratagema de los cibercriminales está armando a Slack con el mismo efecto.
Para los usuarios fuera del circuito, Slack es un servicio de mensajería instantánea basado en la nube similar a muchos otros similares con los que la mayoría de los usuarios están familiarizados, solo que está orientado a las necesidades corporativas y la colaboración del equipo. Slack ha sido elogiado universalmente por su utilidad y funcionalidades que permiten a los compañeros de trabajo y gerentes organizar rápidamente proyectos y temas de discusión para su discusión en canales separados.
Desafortunadamente, el hecho de que este es principalmente un entorno laboral parece hacer que las personas sean complacientes, lo que ha permitido a los ciberdelincuentes estafar aproximadamente $ 110 MILLONES de más de 30000 personas que usan Slack solo en 2017. ¿Cómo?
Todo lo que los delincuentes realmente hacen es usar un mensaje directo o un recordatorio de bot Slack para las posibles víctimas, haciéndose pasar por otra persona. Los estafadores pueden afirmar fácilmente que son quienes quieran hacerse pasar por ellos, y si el usuario no es lo suficientemente inteligente como para detectar las señales reveladoras de que realmente está tratando con un estafador, hay una buena posibilidad de que terminen dando mucho de información personal al delincuente, a menudo incluso una forma de las finanzas de la víctima. Un equipo de delincuentes particularmente astuto aprovechó este método de phishing y lo utilizó para obtener acceso a un sitio para almacenar, enviar y recibir moneda digital, es decir, MyEtherWallet (MEW). Los mensajes que se enviaron incluían un enlace falso que daba a los piratas informáticos acceso a la billetera MEW de la víctima una vez que se hizo clic. A partir de ese momento, los delincuentes pueden robar Fichas de Atención Básica, o BATs, hasta el contenido de sus corazones.
Uno podría esperar razonablemente que Slack tome medidas contra los estafadores, como cooperar con equipos anti-piratas informáticos, proporcionar todas las pruebas necesarias para que las autoridades locales investiguen los delitos cibernéticos e incluso tomar medidas directas para prevenir actividades delictivas: prohibir cuentas sospechosas u obviamente transgresoras, etc. Sin embargo, los mismos servicios que Slack proporciona a los isquiotibiales son su capacidad para mantener a raya a los ciberdelincuentes, después de todo, Slack es una plataforma de comunicaciones, ante todo.
Esto significa que uno no puede esperar razonablemente estar completamente seguro en Slack , al igual que uno no puede estar absolutamente seguro de que ninguno de los correos electrónicos que reciben en su cuenta de Gmail sea absolutamente seguro. La gente necesita entender eso, como un primer paso para estar seguro cuando se usa Slack. Idealmente, los empleados, o los usuarios de Internet en general, deberían aprender a distinguir los mensajes falsos de los reales para evitar ser víctimas de estafas de phishing y, a partir de ese momento, permanecer atentos a los trucos de los estafadores.
